Ochrona przed działaniem nieznanych plików - twój scenariusz

[LincolnSixEcho]

Lata moich eksperymentów, dziesiątki czy może nawet setki różnych aplikacji, które przewinęły się przez użytkowane przeze mnie maszyny doprowadziły mnie do takiego etapu w podejściu do komponowania zabezpieczeń i pewnych schematów postępowania, który nazwałbym "mniej znaczy więcej". Polega ono na dwóch bazowych założeniach:
1 - wszystkie pobrane dane lądują w przejściowej objętej restrykcjami lokalizacji na dysku niesystemowym
2 - niemal każdy z pobranych plików uruchamiany jest najpierw w izolowanym i zwirtualizowanym środowisku.

OK...teraz jakieś rozwinięcie Obydwie zasady wynikają z używania od lat dwóch tylko aktywnie pracujących aplikacji zabezpieczających i właściwie każdy z punktów związany jest z jedną z nich:
ad. 1 - Wszystkie dane zapisywane są w jednym folderze na dysku D, jednym z kilku do ich przechowywania. Folder ten objęty jest ograniczeniami i tu wkracza SpyShelter, który oferuje możliwość nakładania ich nie tylko na aplikacje/procesy, ale też na lokalizacje (w tym również dyski zewnętrzne). Dzięki temu żaden pobrany plik/program nie uruchomi się samodzielnie, a jeśliby taka próba miała miejsce, to SS o tym poinformuje, dając możliwość sprawdzenia takiego działania i podjęcia decyzji, co z tym fantem zrobić.
ad. 2 - Ten etap związany jest głównie z programem Shadow Defender służącym do wirtualizacji dysków...tu dysku systemowego. Na tym właśnie dysku mam wydzielony osobny folder nazwany po prostu "Temp" - do tego folderu kopiowane są z folderu pobierania pliki, które chcę sprawdzić czy programy, które chcę zainstalować na próbę, ale zanim to zrobię uruchamiam tryb Shadow Mode czyli przechodzę na system wirtualny. Wtedy dopiero otwieram/uruchamiam plik i sprawdzam co się dalej dzieje...jakie ewentualnie podejrzane akcje są wykonywane...obserwując system i komunikaty wyrzucane przez moduł ochrony systemu w SS. Alerty, o których wspomniałem dają mi możliwość także sprawdzenia pliku/procesu dzięki dostępowi z poziomu komunikatu do multiskanera VirusScan.Jotti (lub innego skonfigurowanego wcześniej). Restart systemu kończy proces sprawdzania.

Zasady warte "wdrukowania" i utrwalenia pewnych nawyków, bez wątpienia przyswajam je sobie. No i tak na marginesie, kolejny "+" by zainteresować się SSFW.